構建云原生安全的6個重要能力
責編:gltian |2022-04-06 13:35:52
云計算因其與生俱來的可擴展性和靈活性,以及高性能計算能力,獲得了大量企業用戶的青睞,成為企業關鍵任務負載的首選項。云原生安全作為一種新興的安全理念,不僅解決云計算普及帶來的安全問題,更強調以原生的思維構建云上安全建設、部署與應用,推動安全與云計算深度融合。以下是需要關注的6個云原生安全重點能力,這些領域對于安全專業人員、軟件開發人員和信息技術專家來說非常重要。
1. 身份和訪問管理
如今的信息技術世界需要身份和訪問管理(IAM)。企業使用IAM系統,通過為人員及其設備創建身份,可以輕松管理和跟蹤每個身份,并僅授予相關權限以支持他們的工作。在云上實施IAM有助于確保企業開發人員、客戶、供應商和其他合作伙伴高效、安全地訪問服務和數據。
特別是使用多因素身份驗證和行為分析(例如預期登錄時間和位置),可以幫助企業通過IAM識別個人和設備之間的可疑活動,利用人工智能和自動化IAM來幫助企業更快地識別這些問題。隨著企業面臨的監管壓力越來越大,這些自動化解決方案將越來越有可能發揮更大作用。
此外,設備和云的通信(無論是通過藍牙還是 Wi-Fi)越來越多。未實施IAM的設備很容易受到攻擊,從而導致數據被盜、企業形象受損或發生違規行為。
2. 供應鏈安全
與IAM和第三方訪問相關的是供應鏈安全。通常,供應鏈由許多供應商和第三方組成。供應鏈安全的關鍵問題之一是供應鏈具有很大的攻擊面,這意味著需要在供應鏈中建立安全性來保護它們。由于現代供應鏈日趨復雜和一體化,這一問題將進一步加劇。
當攻擊者成功入侵供應鏈時,他們可能會訪問整個供應鏈中的數據。這意味著他們可以注入惡意代碼或篡改硬件并訪問私人數據。如果供應商的系統不安全,那么授予這樣的供應商訪問企業系統勢必會帶來嚴重危害。
解決此問題的最簡單方法之一是取消供應商對數據的訪問權限。實際上,大多數供應商可能也并不需要訪問云上企業數據。通過消除該攻擊向量,企業可以消除攻擊者使用供應商系統訪問數據的能力。在所有供應商中實施標準化的基線安全模型,將幫助企業在基于云的環境中變得更加安全。
3. API安全
API安全與供應鏈安全密切相關。通常,供應商可能會利用API與企業應用程序集成。API對于現代云應用程序至關重要。微服務也依賴API相互交互并執行工作。一些工作負載可能有數千個API,但API本身可能并不安全,它們可能會成為一種負擔。因為在攻擊者看來,API是一個特別誘人的目標,因為它們的漏洞通常有據可查且可以公開訪問。攻擊者可以使用開放文檔對API進行逆向工程,以進入企業系統并在不被發現的情況下竊取數據。
提高API安全性是云原生安全的重要發展趨勢,企業安全團隊應努力將API安全性集成到Web和基于云的應用程序開發過程中。API安全性也應該是自動化的,因為自動化API安全性可減少人為錯誤,并最大限度地降低工作量。目前,市場上有許多可用的API安全工具都可以與企業的CI/CD管道集成,并在軟件開發生命周期中增強可見性和安全性。
4. 秘密憑證管理
基于云的應用程序使用許多工具、微服務和特權賬戶來支撐其運行。在許多情況下,每個區域都需要從應用程序到應用程序,以及從應用程序到數據庫通信所需的密鑰和密碼。但是,如果缺乏強大的秘密憑證管理策略,管理員和開發人員在面對安全事件時可能就會感到措手不及。秘密憑證可以涵蓋普通、特殊的密碼規則,以及安全密鑰、令牌、訪問代碼,甚至是物理秘密。雖然通用業務計劃對于支持和發展業務而言至關重要,但包含技術信息安全性的安全計劃(例如密鑰和密碼管理)將能夠有效地降低風險。
在管理秘密時,請務必記住,第三方軟件可能需要訪問這些秘密才能正確集成到企業的工作流程中。因此,即便企業內部所有工具都是安全的,不安全的第三方工具也同樣會釀造巨大的安全威脅。此外,DevOps工具可以訪問多種資源和編排軟件,這也可能帶來巨大的安全問題。試想一下,如果攻擊者成功訪問DevOps工具,他們將很容易接觸到敏感信息。因此,企業的所有團隊都應接受有關處理密鑰和密碼的最佳實踐培訓。
秘密管理可能很復雜,但企業內所有人員都必須了解其重要性,企業應利用工具來管理其秘密,并為其基于云的工作負載提供安全性。值得注意的是,秘密憑證管理應該是自動化的,而非手動的,因為手動生成密碼可能會導致人為錯誤,并為網絡犯罪分子留下可以利用的安全漏洞。另外,管理員應該創建復雜的密鑰或密碼,因為網絡犯罪分子能夠很容易猜到簡單的密鑰或密碼。
5. 云安全態勢管理
云配置錯誤是數據泄露的主要原因之一。云安全態勢管理(CSPM)是確保云配置正確的有用工具,它將掃描企業的云配置和應用程序組件,并突出顯示任何可能導致數據泄露的錯誤配置,CSPM通過自動化手段正確配置云中的服務和資源,有效阻止攻擊者侵入系統,幫助企業保護系統安全。
6. 社會工程安全
在安全方面,一個經常被忽略的存在就是社會工程。在社會工程場景中,攻擊者會操縱他們的目標輸入可能導致數據泄露的信息。網絡犯罪分子甚至可以直接通過企業的系統工程師或軟件開發人員,了解現有的安全協議,再使用這些信息來查找系統中的安全漏洞。為避免這種情況,請考慮為員工制定社交媒體政策。
社交媒體政策需要明確規定:企業信息不得發布在個人社交媒體賬戶上。此外,還需要為組織內的各個級別員工創建信息和培訓計劃,以便他們了解在公司內部和外部共享信息的風險;隔離和分類團隊間的信息,以幫助企業確定安全漏洞的來源等。
請記住,企業可以使用任意數量的自動保護和預防工具,但如果有人泄露了他們的密碼,檢測“冒名頂替者”的任務可能會非常困難。
小結
云安全正在不斷演進,更新的技術將進一步增強安全性。但是,通過踐行最佳安全實踐并創建集成的安全策略,企業將更加安全。繼續監控行業發展趨勢并實施上述一些策略,將能夠解決基于云的組織所面臨的諸多現代威脅。
原文鏈接: